Blizzard corrige partiellement une faille dans son client, le reste pour « bientôt »
Soon©
Le 23 janvier 2018 à 16h00
4 min
Logiciel
Logiciel
Blizzard a corrigé partiellement une faille dans son client d’installation, et complètera prochainement la solution. Exploitée, la brèche aurait pu permettre à des acteurs malintentionnés de provoquer des installations arbitraires sur les machines de très nombreux joueurs.
World of Warcraft, Diablo III, HearthStone, Overwatch ou encore Starcraft II sont des titres à succès, joués par des centaines de millions de joueurs. À l’exception des versions mobiles de HearthStone sur Android et iOS, leur installation sur macOS ou Windows passe systématiquement par un client que l’éditeur a tenté de renommer, avant de se raviser récemment pour la laisser sous le nom que tout le monde connait : le client Battle.net.
Une fois installée, cette application est chargée de bon nombre de tâches liées au compte Battle.net du joueur : installation et mise à jour automatique des titres, gestion des options ainsi que toutes les fonctions de communication, le client gérant notamment les conversations audio à deux ou plusieurs personnes.
Or, Tavis Ormandy, chercheur bien connu chez Google pour l’initiative Project Zero, a découvert une faille dans le Blizzard Update Agent, service de liaison pour l’exécution des tâches.
Un serveur HTTP local
Comme il l’explique dans un premier billet daté du 8 décembre, le Blizzard Update Agent passe par un serveur JSON-RPC local, communiquant par le port HTTP 1120. Ce composant reçoit les instructions depuis les serveurs de l’entreprise, qu’il s’agisse de l’émission d’une mise à jour (pour un jeu ou le client lui-même) ou en réponse à une requête provenant de l’utilisateur (installation/suppression d’un titre par exemple).
De la même manière qu’il avait épinglé récemment Transmission et d’autres clients BitTorrent, Ormandy pointe une vulnérabilité au DNS Rebinding dans l’application de Blizzard. Le DNS Rebinding permet à un attaquant de se servir d’un site web en tant que passerelle entre un serveur distant et l’hôte local.
En d’autres termes, un pirate peut piéger un utilisateur en lui faisant visiter une page web particulière, qui se ferait alors passer pour un serveur authentique. Il existe normalement des défenses pour s’assurer de l’authenticité du signal reçu (SOP), mais Blizzard semblait en avoir oublié au passage.
Conséquence, « n’importe quel site peut simplement créer un nom DNS avec lequel il est autorisé à communiquer, pour ensuite le faire correspondre au serveur local ».
Et ça marche, puisqu’après quelque temps, il arrive à faire parvenir des commandes arbitraires à l’agent Blizzard local, lui faisant accomplir par exemple des téléchargements de DLL malveillantes. Blizzard estimant que son application est utilisée par environ 500 millions de joueurs, on comprend donc le danger potentiel.
Correction partielle et rupture de communication
Dans un message supplémentaire, Tavis Ormandy avait indiqué le 8 décembre que son rapport avait été envoyé à un contact chez Blizzard, qui avait par la suite confirmé le problème. Cette nuit cependant, nouveau message d’Ormandy : l’éditeur ne répond plus à ses emails depuis le 22 décembre, mais une solution a manifestement été intégrée dans une révision du client.
Le chercheur se dit cependant surpris : plutôt que de créer une liste blanche de noms d’hôtes dont l’authenticité serait vérifiée, la mise à jour passe les navigateurs sur la liste noire : les exécutables d’Internet Explorer, Chrome, Firefox, Opera et Safari sont détectés.
L’idée de la mesure est bien entendu d’interdire à un site malveillant d’agir à travers ces navigateurs, maillons essentiels de l’attaque par DNS Rebinding. Mais comme le chercheur le précise, la faille est assez évidente : la liste doit être complète et mise à jour, sans quoi l’attaque pourrait continuer via des navigateurs moins communs.
Une mise à jour complète pour « bientôt »
Quelques heures après, un message par un employé de Blizzard laisse finalement entendre que la communication avec le chercheur a été rétablie. L’éditeur ajoute que la liste noire n’était qu’une solution temporaire, en attendant la liste blanche avec vérification, qui serait bien en développement. Aucune date n’a été donnée, mais Blizzard lâche un « soon », une véritable marque de fabrique.
Nous avons posé des questions à l’entreprise sur ce qui s’est passé dans l’intervalle, mais il n’est pas certain qu’elle nous réponde.
Le 23 janvier 2018 à 16h00
Blizzard corrige partiellement une faille dans son client, le reste pour « bientôt »
-
Un serveur HTTP local
-
Correction partielle et rupture de communication
-
Une mise à jour complète pour « bientôt »
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/01/2018 à 16h07
#1
Donc rendez-vous en 2022 pour la liste blanche ? " />
Le 23/01/2018 à 16h32
#2
La mise à jour complète sera mise en place en même temps que le bug de la charge des guerriers
Le 23/01/2018 à 17h12
#3
Soon™
Le 23/01/2018 à 20h28
#4
En même temps, qui utilise Maxthon, K-Meleon, Palemoon, Midori ou autre ?
Oui il y a des utilisateurs pour ces navigateurs, mais s’embêter à mettre un piège en espérant que l’un d’entre eux ET qui aurait Battle.net se fasse pièger, ça ne vaut pas l’effort…
Le 23/01/2018 à 22h47
#5
C’est pas When it’s done chez Blizzard ? " />
Le 24/01/2018 à 11h31
#6
C’est le projet battle.net mal aimé chez blizzard (aller voir glassdoor pour vous en convaincre), pas étonnant que la communication soit floue et que les gens sont passés sous silence.
Après clairement je ne comprend pas pourquoi blizard n’a pas fait de listes blanches, pas si dur que ça non ?